基于IPSec的VPN技術研究

劉莉

摘 要：IPSec協(xié)議是一個IP安全標準，是一組開發(fā)協(xié)議的總稱，通過加密來確保網(wǎng)絡的安全通信。VPN即虛擬專用網(wǎng)，是在公共網(wǎng)絡上建立一個專用的邏輯上的虛擬網(wǎng)絡。VPN可以提供高的安全性、可靠性和易管理性。采用基于IPSec的VPN技術，可以從傳統(tǒng)的專用網(wǎng)絡轉移到對公共網(wǎng)絡的利用上，極大地降低運營成本，同時保護通信數(shù)據(jù)的安全性。

關鍵詞：IPSec；VPN；通信

隨著互聯(lián)網(wǎng)的發(fā)展，計算機網(wǎng)絡在電信、交通、教育、軍事、商業(yè)等各個方面的作用日益增加，人們對于網(wǎng)絡的依賴性也越來越大，但隨之而來的問題也越來越多，其中網(wǎng)絡安全問題受到了廣泛的關注。然而，網(wǎng)絡中廣泛使用的TCP/IP協(xié)議在設計之初并沒有考慮到數(shù)據(jù)傳輸?shù)陌踩?，造成了巨大的安全隱患。

對于企業(yè)而言，企業(yè)內部之間和企業(yè)之間進行交流的時候，需要考慮數(shù)據(jù)傳輸?shù)陌踩院涂煽啃詥栴}。通常采用的方法是，租用或者組件專用網(wǎng)來實現(xiàn)，但是這樣做會產(chǎn)生昂貴的成本，并且不利于企業(yè)對網(wǎng)絡的管理。因此，企業(yè)需要成本低、易于管理、安全性高的方案，來應用于企業(yè)外聯(lián)網(wǎng)和企業(yè)內部網(wǎng)絡中。基于IPSec的VPN技術，很好的解決了這一問題，并在企業(yè)網(wǎng)建設中得到了廣泛的應用。

1 VPN技術概述

虛擬專用網(wǎng)VPN是在公共網(wǎng)絡中建立私有的專用虛擬鏈路進行通信的網(wǎng)絡，通過公共網(wǎng)絡來完成私有網(wǎng)絡的數(shù)據(jù)傳輸，其中涉及加密、認證等多種網(wǎng)絡安全技術。

根據(jù)不同的需求，可以構造三類VPN：企業(yè)內部虛擬專用網(wǎng)Intranet VPN、遠程訪問虛擬專用網(wǎng)Remote Access VPN和企業(yè)擴展虛擬專用網(wǎng)Extranet VPN。

簡單來說，Intranet VPN是總部與分公司之間的用戶進行通信的內部網(wǎng)VPN，用戶之間進行通信的數(shù)據(jù)都需要經(jīng)過加密和認證，Remote Access VPN是企業(yè)員工在企業(yè)外部訪問企業(yè)內網(wǎng)所構建的VPN，Extranet VPN則是不同企業(yè)之間進行通信的VPN。

2 基于IPSec的VPN技術

IPSec VPN技術保證了利用公共網(wǎng)絡進行數(shù)據(jù)傳遞的安全性和可靠性，其實質就是利用IPSec協(xié)議來建立安全隧道進行數(shù)據(jù)通信的VPN技術。

IPSec（IP Security），即IP安全協(xié)議，是IETF（因特網(wǎng)工程任務組）于1998年11月公布的IP安全標準，它是一組開發(fā)協(xié)議的總稱。IPSec協(xié)議目標是為IPv4和IPv6提供具有較強的互操作能力、高質量和基于密碼的安全。它是一個開放性的標準框架，不僅為因特網(wǎng)提供了基本的安全功能，而且為創(chuàng)建健壯安全的虛擬專用網(wǎng)絡（VPN）提供了靈活的手段。

大部分IPSec實施方案的組件都包括：認證頭AH和封裝安全載荷ESP，安全策略數(shù)據(jù)庫SPD，安全聯(lián)盟數(shù)據(jù)庫SADB，Internet密鑰交換IKE，策略和SA管理，以及一系列加密認證算法等。

AH協(xié)議用來向IP通信提供數(shù)據(jù)完整性和身份驗證，同時可提供抗重播服務。

ESP協(xié)議提供IP加密保證和驗證數(shù)據(jù)源以對付網(wǎng)絡上的監(jiān)聽，因為AH雖然可以保護通信免受篡改，但并不對數(shù)據(jù)進行變形變換，數(shù)據(jù)對于黑客而言仍然是清晰的，為了有效地保證數(shù)據(jù)傳輸安全，提供ESP進一步來提供數(shù)據(jù)保密性同時防止篡改。

IPSec VPN具有高的靈活性、強大的安全性、多業(yè)務性、降低建網(wǎng)費用、冗余性、通道分離性、易于管理等特點。使用IPSec VPN通信的時候，需要在發(fā)送方進行身份認證，以便于系統(tǒng)劃分客戶權限，在VPN交換機根據(jù)安全策略為數(shù)據(jù)包加上AH或者ESP頭，然后進行IKE處理，對處理之后的數(shù)據(jù)包采用隧道模式封裝，進而進行數(shù)據(jù)的發(fā)送。接收方收到數(shù)據(jù)包之后，剝離IP頭，使用數(shù)據(jù)包中的AH或者ESP頭調用IESec層，摘錄出SPI，并從SAD中去除SA，以判斷數(shù)據(jù)包是否丟棄，然后進行安全性、完整性驗證等操作。

IPSec VPN提供了強大的安全性，其結合現(xiàn)有的RADIUS、LDAP等認證技術實現(xiàn)用戶的認證授權，支持多種通道協(xié)議、數(shù)據(jù)加密方法和過濾功能，并且內置防火墻功能，可以實現(xiàn)從公網(wǎng)到私網(wǎng)的接口數(shù)據(jù)傳輸。

由于VPN直接利用公共網(wǎng)絡建立，因此造價低廉，并且由于公共網(wǎng)絡布網(wǎng)的全球性，使得IPSec VPN十分靈活，可以連接到任意地點的分支。

為了保障VPN隧道和設備的可靠性，可以采用冗余機制，增加備份鏈路和設備。由于對用戶的權限進行了設置，可以使得用戶安全、靈活地訪問內部網(wǎng)絡、外部網(wǎng)絡和其他聯(lián)網(wǎng)企業(yè)的網(wǎng)絡資源，同時IPSec VPN支持IP話音、視頻等多種業(yè)務數(shù)據(jù)的傳輸，滿足不同用戶的需求。

3 小結

IPSec協(xié)議作為IP網(wǎng)絡通信中的安全保障，在網(wǎng)絡安全通信中起著非常重要的作用，而基于IPSec的VPN技術，利用公共網(wǎng)絡建設虛擬隧道進行通信，大大降低了網(wǎng)絡建設和運營的成本，同時為數(shù)據(jù)的傳輸提供了可靠的安全保障，目前已經(jīng)得到廣泛應用，且性能穩(wěn)定。

參考文獻：

[1] Kent S， Atkinson R. IP Encapsulating Security Payload[S]. RFC2406 IETF，1998.

[2] 鄭博.基于IPSec的VPN技術及應用[J].數(shù)字技術與應用，2011（9）：53-54.

[3] 何亞輝，肖路，陳鳳英.基于IPSec的VPN技術原理與應用[J].重慶工學院學報，2006，20（11）：114-117.

[4] 王鳳領.基于IPSec的VPN技術的應用研究[J].計算機技術與發(fā)展，2012，22（9）：250-253.